Tags:
Node Thumbnail

ผู้เขียนพบว่าเช้านี้บางโดเมนที่ฝาก DNS ไว้กับ CloudFlare ถูกชี้ไปยังเว็บสแปม โดยจะเกิดขึ้นเฉพาะกับ Record ที่ตั้งค่าให้วิ่งผ่าน CloudFlare CDN เท่านั้น จากการพูดคุยเบื้องต้นกับทีมผู้เชี่ยวชาญ คาดว่าปัญหาเกิดจากระบบ Cache ของทาง CloudFlare ถูกเจาะ พร้อมแนะนำให้ย้ายโดเมนออก หรือตั้งค่า DNS เป็นแบบ DNS Only ชั่วคราวเพื่อหลีกเลี่ยงปัญหานี้

เบื้องต้นผู้เขียนได้ทำการติดต่อ CloudFlare เป็นที่เรียบร้อยแล้ว หากมีความคืบหน้าจะมารายงานให้ทราบต่อไป

ภาพการทดสอบ curl -i และ dig เว็บที่ได้รับผลกระทบ

ภาพการทดสอบ curl -i เว็บที่ถูกโจมตี

Tags:
Node Thumbnail

เราเห็นข่าวฐานข้อมูล MongoDB และ Hadoop โดนเจาะกันไปแล้ว ฐานข้อมูลรายล่าสุดที่หนีไม่พ้นชะตากรรมนี้คือ CouchDB ฐานข้อมูลแบบ NoSQL ชื่อดังอีกราย ที่มีรายงานว่าโดนเจาะไปแล้ว 450 เครื่องแล้ว

รูปแบบการเจาะก็คล้ายกันคือเป็น CouchDB ที่ต่อตรงออกอินเทอร์เน็ตและไม่ได้ตั้งรหัสผ่านไว้ (หรือเดารหัสผ่านได้ง่าย) โดยแฮ็กเกอร์ใช้วิธีเรียกค่าไถ่ข้อมูลเป็นเงิน 0.1 BTC (เทียบอัตราปัจจุบันคือประมาณ 100 ดอลลาร์)

Tags:
Node Thumbnail

มัลแวร์ Mirai สำหรับการเจาะเข้าอุปกรณ์ IoT ที่เปิดทางเข้าผ่านอินเทอร์เน็ต ถูกปล่อยซอร์สมาตั้งแต่ต้นเดือนตุลาคม และภายในเวลาไม่ถึงเดือน ก็มีคนนำมัลแวร์ไปควบคุมบอตเน็ตขนาดใหญ่เพื่อโจมตี Dyn ปริศนาจนถึงตอนนี้คือผู้สร้าง Mirai เป็นใครก็ยังไม่สามารถยืนยันได้ แต่ Brian Krebs ระบุว่าเขาพบความเชื่อมโยงกับ Paras Jha ประธานบริษัท ProTraf ผู้ให้บริการ (เว็บบริษัทเข้าไม่ได้แล้วตอนนี้ แต่มี LinkedIn)

Tags:
Node Thumbnail

กูเกิลอธิบายเทคนิคการตรวจจับมัลแวร์บน Android ด้วยหลักการทางสถิติ ช่วยให้ค้นพบมัลแวร์ที่ไม่สามารถตรวจจับได้โดยตรง

ปกติแล้ว กูเกิลมีระบบที่เรียกว่า Verify Apps ที่ผูกกับบัญชีกูเกิลของผู้ใช้ ระบบนี้จะคอยตรวจสอบแอพที่ติดตั้งภายในเครื่องเป็นระยะ (แม้ไม่ได้ติดตั้งแอพผ่าน Google Play ก็ตรวจสอบได้) ถ้าตรวจพบมัลแวร์ก็จะแจ้งเตือนผู้ใช้ให้ถอนการติดตั้งออก

อย่างไรก็ตาม ผู้สร้างมัลแวร์อาจมีวิธีหลบเลี่ยงการตรวจสอบ Verify Apps (เช่น ฝังมัลแวร์ลงได้แล้วแอบปิดระบบ Verify Apps ทิ้ง) หรือผู้ใช้เลิกใช้งานอุปกรณ์เครื่องนั้นเพราะประสบการณ์ใช้งานแย่ กูเกิลจึงรับมือปัญหานี้ด้วยหลักทางสถิติแทน

Tags:
Node Thumbnail

นักวิจัยด้านความปลอดภัยหลายคนได้ร่วมกันลงนามในจดหมายเปิดผนึกถึง The Guardian เรียกร้องให้ถอนรายงานปัญหาช่องโหว่ของ WhatsApp ที่ทางสำนักข่าวกล่าวว่า WhatsApp นั้นมี backdoor ในขณะที่ Open Whisper System เจ้าของโปรโตคอลเข้ารหัสที่ WhatsApp ใช้งานออกมาให้เหตุผลว่าเป็นลักษณะการออกแบบของ WhatsApp (ข่าวเก่า)

Zeynep Tufekci ผู้ที่จัดทำจดหมายเปิดฉบับนี้ให้ความเห็นเรื่องของ The Guaridan ว่า ทางสำนักข่าวไม่ควรจะรายงานปัญหาระดับร้ายแรงโดยไม่มีการสัมภาษณ์ผู้เชี่ยวชาญที่เพียงพอ

Tags:
Node Thumbnail

ปีที่แล้วนอกจากกระทรวงกลาโหมสหรัฐฯ ตั้งรางวัลสำหรับผู้ที่แฮกระบบที่เชื่อมต่ออินเทอร์เน็ต กองทัพบกสหรัฐฯ เองก็ตั้งรางวัลแบบเดียวกัน และตอนนี้ทางกองทัพก็รายงานผลออกมา

รายการของกองทัพบกเป็นการเชิญนักวิจัยภายนอกมาร่วมรายการ ผู้รับเชิญตอบรับมาทั้งหมด 371 คน เป็นเจ้าหน้าที่รัฐ 25 คน ในจำนวนนี้ 17 คนทำงานในกองทัพ รายงานช่องโหว่ทั้งหมดมากกว่า 416 รายการแต่มีช่องโหว่ไม่ซ้ำกัน 118 รายการ รายการแรกส่งเข้ามาหลังเปิดโครงการ 5 นาที

ช่องโหว่ชุดหนึ่งเจาะทะลุจากเว็บรับสมัครทหาร goarmy.com แล้วพบว่ามีพรอกซี่ภายในเปิดอยู่ทำให้นักวิจัยสามารถทะลุเข้าเน็ตเวิร์คภายในของกองทัพได้ นับเป็นช่องโหว่ที่ร้ายแรงที่สุดในรายการนี้

Tags:
Node Thumbnail

ออราเคิลออกแพตช์ความปลอดภัยประจำไตรมาสแรกปี 2017 รวมช่องโหว่ 270 จุดจากซอฟต์แวร์ 45 รายการ เฉพาะจาวาอย่างเดียวมีแพตช์ 17 รายการ ในจำนวนนี้มี 16 รายการที่จากระยะไกลได้

นับความสำคัญตามคะแนน CVSS จาวาจะมีแพตช์ร้ายแรง 4 รายการ (คะแนนเกิน 8) ขณะที่ซอฟต์แวร์จัดการโครงการ Primavera มีช่องโหว่ร้ายแรงสูงสุดคะแนน CVSS 10.0 มาหนึ่งรายการ

ที่มา - Oracle, The Register

Tags:
Node Thumbnail

Andrey Leonov รายงานถึงช่องโหว่ ImageMagick ที่พบบนเซิร์ฟเวอร์ของเฟซบุ๊ก ช่วงเดือนตุลาคมปีที่แล้ว โดยเฟซบุ๊กจ่ายเงินรางวัลสำหรับรายงานนี้ถึง 40,000 ดอลลาร์ นับเป็นการรายช่องโหว่ความร้ายแรงงสูง

ช่องโหว่ ImageTragick เปิดให้แฮกเกอร์สามารถสั่งรันคำสั่งใดๆ บนเครื่องเซิร์ฟเวอร์ก็ได้ ตัว Leonov ทดสอบช่องโหว่นี้บนภาพจากภายนอกที่ส่งลิงก์เข้าไปยังเฟซบุ๊ก ทำให้เฟซบุ๊กดึงภาพเข้ามาแล้วปรับขนาด

Tags:
Node Thumbnail

ศูนย์ความปลอดภัยไซเบอร์อังกฤษ (National Cyber Security Centre - NCSC) เผยแพร่บทความโดย Sacha B เรียกร้องให้เว็บไซต์ต่างๆ เลิกมาตรการห้ามผู้ใช้แปะรหัสผ่านจากคลิปบอร์ด

เว็บไซต์จำนวนมากพยายามเพิ่มมาตรการความปลอดภัยด้วยการห้ามไม่ให้ผู้ใช้แปะรหัสผ่านด้วยคำสั่ง Copy และ Paste อย่างไรก็ดี แนวทางเช่นนี้ไม่เคยมีงานวิจัยรองรับจริงจัง ไม่เคยมีการถกเถียงถึงประโยชน์ที่แท้จริงใน RFC หรือมาตรฐานความปลอดภัยใดๆ

การห้ามแปะรหัสผ่านจากคลิปบอร์ดทำให้ผู้ใช้ไม่สามารถใช้ซอฟต์แวร์จัดการรหัสผ่านบางตัวได้ และไปกระตุ้นให้ผู้ใช้เลือกทางออกที่อันตรายกว่า เช่น การใช้รหัสผ่านซ้ำๆ กัน, ใช้รหัสผ่านที่ง่ายมากๆ, หรือเขียนรหัสผ่านไว้ในที่ที่มองเห็นได้ง่าย

Tags:
Node Thumbnail

ความผิดพลาดของนักพัฒนาที่อาจจะนำกุญแจ API ที่สำคัญๆ ไปอัพโหลดขึ้น GitHub หรือปล่อยหลุดไปตามช่องทางอื่นๆ เกิดขึ้นได้เรื่อยๆ ล่าสุดบริษัท Fallible สำรวจแอปแอนดรอยด์ถึง 16,000 รายการว่ามีความลับใดฝังอยู่ในโค้ดหรือไม่ และพบว่ามีกุญแจ API สำคัญๆ อยู่ถึง 304 รายการ

รายการกุญแจ API ที่หลุดมากับโค้ดแอนดรอยด์ ได้แก่ Twitter, Urban Airship, Flickr, Dropbox, Instagram, Uber, ไปจนถึง AWS ที่อาจจะทำให้นักพัฒนาหมดตัวด้วยการเปิดเครื่องมาใช้งานจำนวนมาก

จำนวนแอปที่มีกุญแจ API เหล่านี้ติดมาด้วยยังคงมีจำนวนมาก คงต้องเตือนกันว่าควรนำกุญแจเหล่านี้ออกจากโค้ดก่อนคอมไพล์ขึ้น Google Play หรือออกแบบสถาปัตยกรรมให้ไม่ต้องติดกุญแจเหล่านี้ไปกับตัวแอป

Tags:
Node Thumbnail

กูเกิลเปิดรายงานการออกแบบโครงสร้างพื้นฐานของบริษัทเพื่อความมั่นคงปลอดภัย แสดงข้อมูลตั้งแต่ฮาร์ดแวร์และซอฟต์แวร์เพื่อการรักษาความปลอดภัยทั้งบริการลูกค้าบุคคลอย่าง Gmail, Search, หรือ Photos ไปจนถึงลูกค้าองค์กร เช่น Google Cloud Platform หรือ G Suite

ความปลอดภัยเริ่มตั้งแต่ระดับกายภาพ ที่กูเกิลสร้างศูนย์ข้อมูลของตัวเองและจัดการความปลอดภัยด้วยตัวเอง ฮาร์ดแวร์ของกูเกิลมีชิปรักษาความปลอดภัยเฉพาะของกูเกิลเพื่อการยืนยันว่าเป็นฮาร์ดแวร์ของกูเกิลจริง ในบางกรณีกูเกิลจะใช้ศูนย์ข้อมูลภายนอก แต่จะรักษาความปลอดภัยเพิ่มเติม อาจจะติดกล้องวงจรปิดแยก, มีระบบยืนยันตัวตนด้วยข้อมูลชีวภาพแยก, หรือแม้แต่มีเครื่องตรวจโลหะ

Tags:
Node Thumbnail

กระบวนการเข้ารหัสจากปลายทางถึงปลายทาง เช่น อีเมล PGP หรือการแชตที่เข้ารหัสจากปลายทางถึงปลายทาง ล้วนมีข้อจำกัดสำคัญคือการรับประกันความปลอดภัยเต็มที่ต้องมีการยืนยันกุญแจสาธารณะของผู้ที่เรากำลังสื่อสารด้วยเสมอ กระบวนการยืนยันกุญแจเช่นนี้เป็นเรื่องลำบากและทำให้คนจำนวนมากเลือกที่จะไม่สนใจยืนยันหรือแม้แต่ไม่สนใจการเข้ารหัสจากปลายทางถึงปลายทางไปเลย แต่ตอนนี้กูเกิลก็เปิดตัวซอฟต์แวร์ต้นแบบเพื่อทดสอบแนวทางการช่วยยืนยันกุญแจ เรียกว่า Key Transparency

Tags:
Node Thumbnail

Keeper Seecurity แอพจัดการรหัสผ่าน รวบรวมสถิติรหัสผ่านที่หลุดในปี 2016 รวมกว่า 10 ล้านบัญชี เพื่อมาวิเคราะห์ดูแนวโน้มว่า "รหัสผ่านยอดนิยม" ของประชากรชาวโลกคืออะไรกันแน่

ผลลัพธ์ยังเป็นเหมือน ไม่ได้แตกต่างอะไรจากสถิติในปี 2015 มากนัก รหัสผ่านยอดนิยมยังเป็น 123456 ที่มีคนใช้มากถึง 17% ของรหัสผ่านทั้งหมด และอันดับ Top 10 ก็เต็มไปด้วยรหัสผ่านที่คาดเดาได้ง่าย เช่น password, qwerty, 111111, 123123 เป็นต้น

Keeper บอกว่ารหัสผ่าน 25 อันดับแรกถูกใช้บ่อยมาก และคิดเป็นสัดส่วน 50% ของรหัสผ่าน 10 ล้านชุดที่นำมาวิเคราะห์เลยทีเดียว บริษัทแนะนำว่าถ้าใครยังตั้งรหัสผ่านเหล่านี้อยู่ก็ควรเปลี่ยนทันที

Tags:
Node Thumbnail

เมื่อวานนี้ WhatsApp กลายเป็นประเด็นข่าวใหญ่เมื่อหนังสือพิมพ์ The Guardian รายงานถึงช่องโหว่ลับ (backdoor) ของ WhatsApp ว่าทำให้ผู้ใช้ถูกดักฟังได้ และวันนี้ทาง Open Whisper System ผู้พัฒนาโปรโตคอล Signal ก็ออกมาวิจารณ์ว่าเป็นการรายงานที่ไม่ตรงความเป็นจริง

แม้ว่า WhatsApp จะเข้ารหัสจากปลายทางถึงปลายทางเสมอ แต่กระบวนการยืนยันตัวตนถูกซ่อนเอาไว้ ทำให้หากตั้งค่าปกติ หากกุญแจฝ่ายใดฝ่ายหนึ่งเปลี่ยนไป ซึ่งอาจจะแปลว่ามีการเปลี่ยนเครื่องหรือลงแอปใหม่ หรืออาจจะหมายถึงการแชตกำลังถูกดักฟัง กุญแจที่เปลี่ยนไปก็เปลี่ยนโดยอัตโนมัติ

Tags:
Node Thumbnail

Isao Echizen ศาสตรจารย์จากห้องปฎิบัติการวิจัย ELAB Content Security แห่ง National Institute of Informatics ออกมาเตือนว่าการถ่ายภาพเล่นๆ อย่างการชูสองนิ้วใส่กล้องอาจจะทำให้ข้อมูลลายนิ้วมือรั่วไหลไปได้

เขาระบุว่าที่ห้องวิจัยของเขา สามารถทำสำเนาลายนิ้วมือจากกล้องดิจิตอลที่ถ่ายออกไปไกลถึงสามเมตรได้สำเร็จแล้ว ขณะที่กระบวนการทำสำเนาลายนิ้วมือไม่ได้ต้องการเทคโนโลยีระดับสูงอีกต่อไป

ห้องวิจัยของ Echizen กำลังวิจัยฟิล์มป้องกันการทำสำเนาลายนิ้วมือจากภาพถ่าย ขณะที่ยังใช้ลายนิ้วมือเพื่อยืนยันตัวตนได้ อย่างไรก็ตามเทคโนโลยียังไม่พร้อมใช้งานไปอีกสองปี

Tags:
Node Thumbnail

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยประจำเดือนมกราคม และรอบนี้มีแพตช์เพียง 4 ชุด นับว่าน้อยที่สุดตั้งแต่ไมโครซอฟท์ปล่อยแพตช์ตามรอบรายเดือนมา

แพตช์ทั้ง 4 ชุดได้แก่ ช่องโหว่ยกระดับสิทธิ์ซอฟต์แวร์ของ Edge, ช่องโหว่รันโค้ดของ Office, ช่องโหว่ Adobe Flash, และช่องโหว่ DoS ของวินโดวส์ โดยมีช่องโหว่ Flash ตัวเดียวที่เป็นระดับวิกฤติ ที่เหลือเป็นระดับสำคัญทั้งหมด

ที่มา - Microsoft, ThreatPost

Tags:
Node Thumbnail

มีรายงานว่าฐานข้อมูล MongoDB จำนวนมากบนอินเทอร์เน็ตถูกเจาะ โดยแฮ็กเกอร์ลบข้อมูลทั้งหมดในฐานข้อมูลเดิมออก และเรียกค่าไถ่ข้อมูลที่ขโมยออกไป

ตอนนี้ยังไม่มีตัวเลขแน่ชัดว่า ฐานข้อมูล MongoDB ที่ได้รับผลกระทบมีจำนวนเท่าไรกันแน่ แถมจำนวนก็เพิ่มขึ้นเรื่อยๆ ตัวเลขล่าสุดคือ 2,000 แห่ง ผู้ที่เจาะฐานข้อมูลเป็นรายแรกใช้นามแฝงว่า “Harak1r1” โดยเรียกค่าไถ่จำนวน 0.2 BTC (ประมาณ 220 ดอลลาร์หรือ 8,000 บาท) แต่เมื่อข่าวแพร่กระจายออกไป ก็มีแฮ็กเกอร์รายอื่นๆ มาร่วมเจาะ MongoDB อีกเช่นกัน

Tags:
Node Thumbnail

Netgear บริษัทพัฒนาและผลิตอุปกรณ์เครือข่ายได้ร่วมมือกับ Bugcrowd เปิดโครงการ Bug Bounty หรือช่องโหว่แลกเงินรางวัล

โครงการนี้ครอบคลุมตั้งแต่เว็บไซต์ของ Netgear เองจนไปถึงผลิตภัณฑ์ต่างๆ มีเงินรางวัลเริ่มต้นที่ $150 สำหรับช่องโหว่ประเภท Redirection (การเปลี่ยนเส้นทางไปที่อื่น) จนถึงเงินรางวัลสูงสุด $15,000 ได้แก่ การเข้าถึงระบบ Cloud เก็บวีดีโอของ Netgear ของลูกค้าอย่างมิชอบ เป็นต้น

ก่อนหน้านี้อุปกรณ์ของ Netgear ได้ถูกพบช่องโหว่สำคัญในหลายๆ รุ่น

Tags:
Node Thumbnail

ช่องโหว่ของเราท์เตอร์และอุปกรณ์ IoT อื่นๆ เช่น กล้องวงจรปิดต่ออินเทอร์เน็ต เป็นปัญหาสำคัญของอินเทอร์เน็ตและผู้ใช้ตามบ้านในช่วงหลัง ที่ผ่านมาก็มักเป็นการเตือนกันเองในหมู่นักวิจัยว่าผู้ผลิตรายใดมีปัญหาบ้าง แต่ล่าสุดคณะกรรมการการค้าสหรัฐฯ (FTC) ก็เข้ามายื่นฟ้อง D-Link ที่จัดการความปลอดภัยของอุปกรณ์ตัวเองได้ไม่ดีพอ ขัดกับคำโฆษณาของตัวเองที่อ้างว่ามีความปลอดภัยสูง

Tags:
Topics: 
Node Thumbnail

เมื่อต้นเดือนมกราคม 2560 กลุ่มแฮกเกอร์ที่ใช้ชื่อว่า CyberZeist อ้างว่าสามารถเจาะระบบเว็บไซต์ของ FBI ได้สำเร็จผ่านทางช่องโหว่ 0-day ของระบบ CMS พร้อมทั้งได้ขโมยข้อมูลอีเมลและรหัสผ่านของเจ้าหน้าที่ FBI ออกมาเผยแพร่ในอินเทอร์เน็ต จากการสืบสวน มูลนิธิ Plone ผู้พัฒนา CMS ที่ใช้ในเว็บไซต์ของ FBI และเว็บไซต์หน่วยงานภาครัฐจำนวนมากของสหรัฐฯ ได้ออกมาตอบโต้ว่าสิ่งที่แฮกเกอร์กลุ่มนี้กล่าวอ้างนั้นเป็นเรื่องหลอกลวง

Tags:
Node Thumbnail

Samuel Thomas โปรแกรมเมอร์ชาวอังกฤษจดทะเบียนบริษัท ; DROP TABLE "COMPANIES";-- LTD อย่างเป็นทางการในอังกฤษเมื่อวันที่ 29 ธันวาคมที่ผ่านมา โดยบริษัทตั้งอยู่ในเมือง Suffolk ทางชายฝั่งตะวันออกของอังกฤษ

บริษัท ; DROP TABLE "COMPANIES";-- LTD มีทุนจดทะเบียน 1 ปอนด์ (44 บาท) รวม 1 หุ้น

Tags:
Node Thumbnail

รายงานอุปกรณ์ IoT ถูกแฮกกันเป็นวงกว้างเป็นเรื่องน่ากังวลตราบใดที่ผู้ผลิตยังไม่สามารถปกป้องสินค้าของตัวเองได้ดีพอ แต่ทางออกชั่วคราวอาจจะพอแก้ได้ด้วยการใช้เราท์เตอร์ที่มีไฟร์วอลมาช่วยปกป้องการเข้าถึงอุปกรณ์ในเครือข่าย ผู้ผลิตซอฟต์แวร์ความปลอดภัยอย่าง Norton ก็ออกเราท์เตอร์ที่ติดตั้งไฟร์วอลล์เต็มรูปแบบสำหรับผู้ใช้ตามบ้านในชื่อ Norton Core

ตัวฮาร์ดแวร์ Norton Core เป็นเราท์เตอร์ประสิทธิภาพสูง ซีพียูสองคอร์ 1.7GHz และแรมในตัว 1GB พร้อมหน่วยความจำแฟลชอีก 4GB มี USB 3.0 สองพอร์ต และกิกะบิตอีเธอร์เน็ตอีก 4 ช่อง เชื่อมต่อไร้สายแบบ 802.11 a/b/g/n/ac เสาอากาศ MIMO 4x4 และ Bluetooth LE

Tags:
Node Thumbnail

พบกันเป็นประจำทุกต้นเดือนครับ (รอบนี้พิเศษตรงติดหยุดปีใหม่ เลยเลื่อนออกมาหนึ่งวัน) กูเกิลเลยออกแพตช์ความปลอดภัย Android ประจำเดือนมกราคม 2017 เดือนนี้กลับมาแยกแพตช์เหลือ 2 ชุด ได้แก่ชุด 1 ม.ค. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน และชุด 5 ม.ค. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 ม.ค.มาด้วย)

สำหรับแพตช์ 1 ม.ค. แก้ช่องโหว่ด้านความปลอดภัย 23 จุด (CVE) เป็นระดับร้ายแรง (critical) 1 จุด ซึ่งก็ยังเป็นเรื่องของ Mediaserver เจ้าเก่า (StageFright เดิม) ส่วนแพตช์ 5 ม.ค. แก้เพิ่มอีก 72 จุด ซึ่งส่วนมากแก้ปัญหาช่องโหว่บนไดรเวอร์ของผู้ผลิตฮาร์ดแวร์อย่าง Qualcomm, Broadcom, Synaptics และ NVIDIA

ผลิตภัณฑ์ในกลุ่ม Pixel/Nexus ที่ได้รับแพตช์ จะมีดังนี้ครับ

Tags:
Topics: 
Node Thumbnail

ช่องโหว่รันโค้ดในระบบจาก PHPMailer เพิ่งแก้ไขไปไม่กี่วัน ตอนนี้ Dawid Golunski ก็รายงานว่า SwiftMailer ไลบรารีแบบเดียวกันก็มีช่องโหว่แบบเดียวกันด้วย โดยหมายเลขช่องโหว่เป็น CVE-2016-10074

ตัว Golunski ระบุว่าเขารายงานช่องโหว่นี้ไปตั้งแต่ต้นเดือนธันวาคม แต่ทางโครงการไม่ตอบกลับ และเขาพยายามเตือนว่าช่องโหว่แบบเดียวกันนี้อยู่ใน PHPMailer ที่กำลังแก้ไขด้วย แต่ก็ผู้ผลิตก็ยังไม่ตอบรับคำเตือน จนกระทั่งเขาออกประกาศออกมาเมื่อวานนี้

ตอนนี้ SwiftMailer ออกแพตช์แล้วเป็นรุ่น 5.4.5 ทุกคนที่ใช้งาน เช่น โมดูล Swift Mailer ใน Drupal ควรเร่งอัพเดต

Tags:
Node Thumbnail

ต่อจากข่าว โอบามาสั่งหน่วยข่าวกรองสหรัฐ สอบสวนการโจมตีไซเบอร์ช่วงการเลือกตั้งปี 2016 วันนี้ ทำเนียบขาวออกมาแถลงข่าวอย่างเป็นทางการ ยืนยันการโจมตีไซเบอร์จากรัฐบาลรัสเซียแล้ว

ประธานาธิบดีบารัค โอบามา ระบุว่าการโจมตีไซเบอร์เพื่อขโมยข้อมูลในช่วงเลือกตั้ง ถูกขับเคลื่อนโดยเจ้าหน้าที่ระดับสูงสุดของรัฐบาลรัสเซีย อีกทั้งเจ้าหน้าที่ด้านการทูตของสหรัฐในกรุงมอสโก ก็ถูกกลั่นแกล้งจากเจ้าหน้าที่ความปลอดภัยและตำรวจรัสเซียมาตั้งแต่ปีที่แล้ว

Pages